JaunumiNavigācija starp NIS2 direktīvu (Nacionālās kiberdrošības likumu) un ISO 27001:2022 atbilstības praksi

Navigācija starp NIS2 direktīvu (Nacionālās kiberdrošības likumu) un ISO 27001:2022 atbilstības praksi

Artūrs Filatovs
LVRTC Kiberaizsardzības biznesa virziena vadītājs

Kiberuzbrukumi ir kļuvuši par ikdienas realitāti, un organizācijām jābūt gatavām pieņemt šos izaicinājumus. Eiropas Savienības NIS2 (Network and Information Security v2 jeb Tīkla informācijas drošības) direktīva un ISO 27001:2022 atbilstības prakse ir divi galvenie elementi, kas palīdz ieviest augstu kiberdrošības līmeni gan Latvijā bāzētās organizācijās, gan organizācijās starptautiskā līmenī, nodrošinot vienotu un drošu vidi visām iesaistītajām pusēm. 

Organizācijas, kurās jau ir ieviesta ISO 27001 sertifikācija, iespējams, ir labāk sagatavotas atbilstībai NIS2 prasībām un līdz ar to Latvijas nacionālajam kiberdrošības likumam – daudzi drošības pasākumi abos standartos pārklājas. Tomēr organizācijas, kurām nav ISO sertifikācijas, saskarsies ar jauniem izaicinājumiem, lai izpildītu NIS2 prasības. Kā NIS2 direktīva un ISO 27001 standarts savā starpā mijiedarbojas un kādus rīkus izmantot, lai veiksmīgi pielāgotos NIS2 prasībām? 

Kā NIS2 direktīva ietekmēs organizāciju ikdienu?

NIS2 direktīvā ir ietvertas jaunas prasības kiberdrošības un risku vadībā, kas var ietekmēt organizācijas dažādās nozarēs, tostarp enerģētikas, transporta, veselības aprūpes un digitālo pakalpojumu jomā. Lai ieviestu direktīvu, organizācijām būs jāveic uzlabojumi savās drošības praksēs, lai atbilstu NIS2 prasībām, līdz ar to jāņem vērā svarīgākie direktīvas pieturpunkti:

  • NIS2 direktīva attiecas uz plašāku organizāciju loku nekā tās priekšgājēja NIS1, ietverot vairāk kritisko un digitālo pakalpojumu sniedzējus.
  • Organizācijām būs jāievieš drošības kontroles, kas ietver risku analīzi, drošības pasākumu īstenošanu un regulāru drošības auditu.
  • Organizācijām būs jāizveido un jāievieš obligāts incidentu ziņošanas mehānisms, lai ziņotu par būtiskiem kiberdrošības incidentiem kompetentajām iestādēm noteiktā laika periodā.

Organizācijām, kas jau ir ieviesušas ISO 27001 standartu, iespējams, nebūs jāveic papildu pasākumi, lai nodrošinātu atbilstību NIS2 direktīvai – daudzas ISO 27001 drošības kontroles pārklājas ar NIS2 prasībām. Dažas no šīm drošības kontrolēm ietver: 

  • Nodrošina informācijas drošības politikas izstrādi, ieviešanu un uzturēšanu, kas ir būtiska arī NIS2.
  • Nosaka skaidras informācijas drošības lomas un atbildības, kas atbilst NIS2 pārvaldības prasībām.
  • Nodrošina resursus informācijas drošības pasākumu īstenošanai.
  • Nosaka nepieciešamo apmācību tvērumu, veicinot personāla izpratni par informācijas drošību.
  • Stingri kontrolē un pārvalda piekļuvi informācijas resursiem.
  • Ievieš procedūras incidentu identificēšanai, reģistrēšanai un risināšanai.

Tādu kiberdrošības labo prakšu ieviešana kā ISO 27001:2022 vai  NIS2 direktīva, nav viegls vai ātrs uzdevums. Tas prasa laiku, finanšu ieguldījumus un stingru organizāciju apņemšanos, jo īpaši no augstākās vadības līmenī. Kiberdrošības briedums dažādos uzņēmumos atšķiras atkarībā no tā mēroga un darbības jomas, esošajām procedūrām un riskiem. Organizācijas, kurās nav ieviesta ISO 27001 labo kiberdrošības prakšu sertifikācija, var saskarties ar vairākiem izaicinājumiem, lai atbilstu NIS2 direktīvai:

  • Resursu trūkums: Daudzām organizācijām var trūkt resursu, piemēram, finansējuma, cilvēkresursu vai zināšanu, lai izstrādātu un ieviestu nepieciešamos drošības pasākumus.
  • Darbinieku izglītošana un kiberhigiēnas uzturēšana: Organizācijām būs jānodrošina rīki un apmācības, lai veicinātu izpratni par kiberdrošības nozīmīgumu un uzturētu drošu digitālo vidi.
  • Dokumentācijas un procesu izstrāde un ieviešana: Organizācijām būs jāizstrādā un jāievieš jauni procesi un procedūras, lai atbilstu NIS2 prasībām, kas var prasīt laiku un resursus.

Kā sagatavoties NIS2 direktīvai un tās ieviešanai Latvijā ar Nacionālās kiberdrošības likuma palīdzību?

Lai nodrošinātu drošu digitālo vidi organizācijā un izpildītu nepieciešamās NIS2 direktīvas prasības, ir būtiski, lai organizācija veic sagatavošanās darbus:  

  1. Regulāri veic pašnovērtējumu: Ņemot vērā dinamiski mainīgo kiberdrošības vidi, ir būtiski spēt pielāgoties esošajām drošības prasībām. Novērtējiet esošo kibedrošības situāciju uzņēmumā un identificējiet jomas, kurās nepieciešami uzlabojumi, lai pilnībā atbilstu NIS2 prasībām.
  2. Izstrādā un ievieš drošības pārvaldības sistēmas: Uzņēmumiem, kuri tiks paķlauti NIS2 direktīvai, būs jāapzin un jāpārvalda esošie informācijas drošības riski. Lai izpildītu šo prasību, ir jāievieš riska un informācijas drošības pārvaldības sistēma un jāīsteno skaidras drošības politikas un procedūras, kas atbilst NIS2 prasībām.
  3. Nodrošina resursus personāla zināšanu pilnveidei: Viens no galvenajiem kiberdrošības risku preventīvajiem pasākumiem ir darbinieku izglītošana. Darbinieku kiberpratība un prasme laicīgi atpazīt draudus atspoguļo vispārējo organizācijas drošības līmeni un spēju efektīvi reaģēt uz potenciālajiem uzbrukumiem.  LVRTC piedāvā kiberhigiēnas apmācības, lai dalībnieki iegūtu nepieciešamās zināšanas par kiberdraudiem un drošu digitālās vides uzturēšanu. Uzzini vairāk par kiberhigiēnas apmācībām šeit.
  4. Nodrošina stabilu incidentu ziņošanas mehānismu: Izstrādājiet un ieviesiet mehānismus, lai savlaicīgi ziņotu atbilstīgajām iestādēm par kiberdrošības incidentiem. Nodrošiniet, lai katrs darbinieks būtu informēts, kā ziņot par aizdomīgiem notikumiem un ir izveidots skaidrs rīcības modelis, lai ierobežotu un novērstu riskus un potenciālo kaitējumu.
  5. Izmantojiet Valsts elektronisko sakaru pakalpojumu centra (VESPC) sniegtās iespējas: LVRTC ir viens no VESPC pakalpojumu sniedzējiem un piedāvā kiberdrošības pakalpojumus un ekspertu atbalstu, lai izstrādātu un ieviestu nepieciešamos drošības pasākumus, nodrošinot kiberdrošības incidentu novēršanu, uzraudzību un ziņošanu, kā arī veiktu darbinieku kiberdrošības apmācību vai regulāras kibernoturības pārbaudes jeb pikšķerēšanas simulācijas.